北京
一個(gè)被命名為Sandworm的俄羅斯國(guó)家支持黑客組織,正在將攻擊目標(biāo)從企業(yè)IT網(wǎng)絡(luò)轉(zhuǎn)向控制實(shí)體基礎(chǔ)設(shè)施的運(yùn)營(yíng)技術(shù)系統(tǒng)。這一轉(zhuǎn)變標(biāo)志著關(guān)鍵基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)威脅進(jìn)入新階段。
安全公司Nozomi Networks的研究人員分析了來(lái)自7個(gè)國(guó)家10家工業(yè)客戶(hù)的匿名遙測(cè)數(shù)據(jù),時(shí)間跨度為2025年7月至2026年1月。分析確認(rèn)了29起獨(dú)立的Sandworm攻擊事件,揭示出一個(gè)行動(dòng)有條不紊、規(guī)模激進(jìn)擴(kuò)張、且在被發(fā)現(xiàn)后不會(huì)退縮的威脅行為體。
Sandworm也被稱(chēng)為APT44、Seashell Blizzard和Voodoo Bear,被歸因于俄羅斯軍事情報(bào)機(jī)構(gòu)GRU的74455單位。該組織有著長(zhǎng)期且具有破壞性的活動(dòng)記錄,曾對(duì)烏克蘭電網(wǎng)發(fā)動(dòng)攻擊,并在2017年制造了NotPetya惡意軟件爆發(fā)事件。與以經(jīng)濟(jì)利益為驅(qū)動(dòng)的勒索軟件團(tuán)伙不同,Sandworm的運(yùn)作只有一個(gè)使命:制造破壞,必要時(shí)造成物理?yè)p害。
此次攻擊活動(dòng)令人擔(dān)憂的原因在于,它并不依賴(lài)尖端漏洞利用技術(shù)。Sandworm利用的是早已公開(kāi)且可修補(bǔ)的舊漏洞,包括EternalBlue、DoublePulsar和WannaCry等工具。該組織進(jìn)入已被其他攻擊者控制的環(huán)境,利用這些立足點(diǎn)向工業(yè)領(lǐng)域縱深推進(jìn)。平均而言,被入侵系統(tǒng)在Sandworm到達(dá)之前已連續(xù)43天發(fā)出高置信度安全警報(bào),但這些嘈雜且記錄完整的攻擊始終未得到調(diào)查。
一旦在網(wǎng)絡(luò)中建立存在,Sandworm便展開(kāi)大規(guī)模橫向移動(dòng)。17臺(tái)受感染機(jī)器對(duì)923個(gè)獨(dú)特的內(nèi)部目標(biāo)發(fā)起攻擊,最極端的案例中,單臺(tái)受感染主機(jī)獨(dú)自針對(duì)405個(gè)內(nèi)部系統(tǒng),一次感染事件導(dǎo)致警報(bào)量激增12倍。攻擊目標(biāo)并非隨機(jī)選擇,而是明確指向工業(yè)控制系統(tǒng),直接打擊工程工作站、人機(jī)界面以及現(xiàn)場(chǎng)控制器,包括遠(yuǎn)程終端單元、可編程邏輯控制器和智能電子設(shè)備。在某受害站點(diǎn),286臺(tái)工程工作站成為目標(biāo);另一站點(diǎn)則有95臺(tái)人機(jī)界面遭到攻擊。
研究人員還注意到,Sandworm活動(dòng)遵循可預(yù)測(cè)的時(shí)間規(guī)律,在莫斯科時(shí)間周三下午2:00左右達(dá)到峰值。這種官僚化的節(jié)奏指向一個(gè)集中組織的行動(dòng),而非機(jī)會(huì)主義黑客的自發(fā)行為。這一發(fā)現(xiàn)表明,該組織的攻擊活動(dòng)具有高度的計(jì)劃性和持續(xù)性,對(duì)全球工業(yè)基礎(chǔ)設(shè)施構(gòu)成持續(xù)威脅。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶(hù)上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
